南方财经全媒体 记者李润泽子 江月 实习生高艺
5月25日,联邦贸易委员会(FTC)责令Twitter支付1.5亿美元罚款,并停止从欺骗性收集的数据中获利。FTC认为Twitter欺骗性地使用账户安全数据形成定向广告,据此对Twitter发起责令。
如今,大型互联网公司的定向广告已成为各方关注焦点,一方面其构成此类互联网公司主要的收入来源,但另一方面也让这些公司的用户陷入侵犯隐私的阴影中。
受访专家告诉南方财经全媒体记者,定向广告的治理具有紧迫性和重要性。从世界范围内来看,对于定向广告的关注将会成为基本趋势。同时,专家指出隐私合规已经成为企业经营必选项的必答题,隐私合规能力更强的企业也开始将该能力视为自己的竞争力之一。
非法利用用户隐私发定向广告
据FTC,自2013年开始,Twitter就要求用户提供电话号码和电子邮件地址来提高账户安全性。例如,帮助用户重置密码,解锁因可疑活动而被封锁的帐户,启用双重身份验证,通过向电话号码或电子邮件地址发送验证码来帮助用户登录账户等。从2014年到2019年,超过1.4亿用户据此提供了个人信息。
然而,FTC调查发现,Twitter在未告知用户的情况下,允许广告商将这些个人信息与消费数据库相匹配,将特定广告定位至特定消费者,Twitter据此获利。
因此,Twitter既违反了《联邦贸易委员会法》(Federal Trade Commission Act),也违反了司法部和联邦贸易委员会2011年一项和解协议的命令。
在2011年指控中达成的协议中,明确禁止了Twitter歪曲用户数据“安全和隐私”做法(misrepresenting its privacy and security practices)的行为。根据该协议,Twitter 必须支付 1.5 亿美元的罚款。
北京师范大学互联网研究院院长助理、中国互联网协会研究中心副主任吴沈括告诉南方财经全媒体记者,在FTC的规则体系当中,歪曲用户数据“安全和隐私”做法的表述主要针对两种情形,即欺诈和误导。在此次事件中,则更侧重于欺诈性的表述,也就是没有告知全部的信息事实。
美国一位副检察长表示:“1.5 亿美元的罚款反映了这一指控的严重性。此次的和解方案与之后新出台的合规措施将有助于防止威胁用户隐私的误导性策略。”
值得注意的是,1.5亿美元的罚款约占Twitter2021年50.8亿美元收入的3%。
除去1.5亿美元的罚款之外,FTC还做出许多规定,包括禁止Twitter从欺骗性收集的数据中获利;允许用户使用其他多因素身份验证方法,如不需要用户提供电话号码的移动身份验证应用程序或安全密钥;通知用户Twitter滥用了为帐户安全而收集的电话号码和电子邮件地址,将其用于广告定向;实施和维护全面的隐私和信息安全计划,检查和解决新产品的潜在隐私和安全风险;限制员工访问用户的个人数据;如果公司遭遇数据泄露,要通知 FTC。
据了解,Twitter已同意接受上述规定监督和1.5亿美元的罚款。
此外,FTC还在指控中专门指出,Twitter的行为还违反了欧盟-美国隐私盾协议(EU-U.S. Privacy Shield)和瑞士-美国隐私盾协议(Swiss-U.S. Privacy Shield)。
全球监管趋于严格
根据 Statista数据,2021年,全球数字广告市场规模达4655亿美元,并预计2026年,其市场规模达到6831亿美元,期间复合增长率达到7.9%。
在数字广告高速增长的过程中,定向广告引发广泛关注,多国在此方面的监管也趋于严格。
2020年12月14日,FTC曾向包括亚马逊、TikTok母公司字节跳动、Discorde、Facebook及其子公司WhatsApp、Reddit、Snap、Twitter和谷歌旗下YouTube的九家社交媒体和视频流媒体发出责令。这一命令要求它们在收到责令的45天内,向FTC报告公司如何收集、使用、跟踪个人信息;如何确定向消费者展示哪些广告内容;是否对个人信息进行算法和数据分析;如何衡量和促进用户的参与度;这些做法如何影响儿童和青少年。
而在对于个人数据保护十分重视的欧盟,监管机构曾对多次因定向广告开出巨额罚单。
例如在2019年1月21日,因违反《一般数据保护条例》(GDPR),法国向谷歌开出了5000万欧元(约合5680万美元)的罚单,后者因此成为该条例生效以来首个遭受处罚的美国科技巨头。
法国数据保护机构国家信息与自由委员会(CNIL)表示,谷歌在向用户定向发送广告时缺乏透明度、信息不足,且未获得用户有效许可,“用户对于自己同意什么并没有充分的认识”。
上海汇业律师事务所律师史宇航介绍,目前,各国主要通过各自的数据、隐私保护法来对个人信息的收集、使用进行规范,并对用户画像进行限制。
吴沈括则认为,定向广告的治理具有紧迫性和重要性。定向广告应充分告知,并且要完全尊重用户的选择退出权利。而从世界范围来看的话,将会形成一个基本的趋势,所以在美国的监管实务当中也已经出现了这样的迹象。
“对于定向广告的监管,核心就是要避免与其相关联的歧视、偏见和信息的欺诈误导问题。”吴沈括说。
隐私合规成为企业必答题
互联网定向广告是互联网商业最为主要的引擎之一,也是收集个人信息后最为主要的用途之一。
在我国,对于定向广告的监管也日趋严格。2021年11月,我国《个人信息保护法》落地实施,其中就对个人信息的处理方式提出明确监管规定。《互联网信息服务算法推荐管理规定》亦关注这一话题,其主要目标之一就是规制互联网定向广告。
吴沈括告诉南方财经全媒体记者,在我国法律法规及相关国家标准中,都要求对于个人信息的处理方式作出明确且准确的告知,目的是为了保证用户的知情权和在此基础上的选择权与控制权。
史宇航明确指出,类似于上文中Twitter的行为,我国《个人信息保护法》统一认为是违法处理个人信息的行为。
“但目前的执法行为更多关注隐私政策如何撰写、撰写地是否到位,并且重点关注APP功能与隐私政策的一致性,较少关注APP以外领域隐私政策的内容与实际数据处理活动是否一致。”史宇航提到。
值得注意的是,《个人信息保护法》设立的高额罚金(*5000万元或年营业额5%)已经给所有类型的企业带来了合规压力,消费者也开始日益关注品牌对自己个人信息的使用情况。
“来自监管部门与消费者等多重压力让隐私合规成为必答题。更进一步,隐私合规能力更强的企业也开始将该能力视为自己的竞争力之一。”史宇航说。